Recevez chaque jour toute l'actualité du numérique

x

Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs

Tribune L’obtention d’un marquage CE qualifiera les objets connectés, qui devront selon le futur Règlement européen (Resilience Act) être conformes à des exigences de sécurité fondamentales à la protection des environnements technologiques. Ils étaient trop souvent les portes d’entrées pour des intrusions permettant de prendre le contrôle d’infrastructures, notamment dans le domaine industriel.
Twitter Facebook Linkedin Flipboard Email
×

Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs
Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs © Photo by Luis Cortés on Unsplash

Des amendes jusqu’à 2,5% du chiffre d’affaires ou 15 millions d’euros. Et des sanctions comme le rappel voire le retrait de la vente des produits mis en cause pour défaut de cybersécurité. L’Union européenne a choisi des réponses fortes pour compenser le retard pris dans la sécurisation des objets connectés. Ces derniers jusqu’alors ne se voyaient soumis qu’au strict minimum en matière de sécurité numérique, encourageant de fait les concepteurs et les producteurs de ces appareils à ne pas prévoir la protection informatique de ces équipements pourtant estimés à plus de 75 milliards d’exemplaires dans le monde d’ici 2025.

Un chiffrage forcément approximatif étant donné que la liste des équipements concernés est vaste : elle englobe tous les produits hardware et software (matériels et logiciels) ayant une composante numérique. Sont donc concernés par le nouveau dispositif tous les logiciels embarqués dans les ordinateurs domestiques, les équipements réseaux, les puces électroniques, les capteurs et caméras connectés, les automates, les sondes et autres outils de détection et de pilotage.
 

Uniformiser la sécurité des chaines industrielles

Ce texte vient en complément des Directives NIS et NIS-2 sur les Opérateurs de Services Essentiels (OSE), qui depuis 2016 établissent les exigences de sécurité des entités jugées critiques pour le fonctionnement des pays membres de l’Union (traitement de l’eau, énergie, télécoms, services financiers, alimentation…). Il s’agit de systématiser des modes de sécurisation connus de longue date dans d’autres domaines d’activités : assurer la gestion des identités des utilisateurs, organiser la protection des données, réduire la surface d’attaque, disposer d’une procédure de mise à jour des règles de sécurité, encadrer le contrôle des accès…

Il n’y a plus de distinguo entre les produits grand public et professionnels puisque ces cahiers des charges renforcés seront également applicables pour des appareils domestiques comme les solutions domotiques ou les caméras connectées destinées au marché des particuliers.

Un chantier industriel structurant

Il est bien question ici d’intégrer l’amélioration continue de la sécurité dans le cycle de vie des logiciels et des produits et de ne pas considérer qu’il s’agit seulement d’une configuration initiale qui resterait figée. À ce titre, la Commission européenne a, comme c’est l’usage, réalisé une analyse d’impact pour situer son projet de réglementation dans un contexte opérationnel.

Évidemment, l’intensification des usages numériques et la confiance investie dans l’intégrité des systèmes de communication et d’information sont au cœur de l’économie européenne des années à venir. Restent aux équipes en charge de la cybersécurité d’approfondir leur dialogue avec les directions des métiers, les financiers et les responsables juridiques pour mettre en œuvre sans tarder cette intégration systématique de ces règles de sécurité. Soit un chantier industriel particulièrement structurant, qui impliquera les processus de conception, de production et de distribution de nombreux secteurs économiques. Quelle que soit la taille des entités concernées.

 

Liens utiles :


Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.